Des de sempre, la seguretat de les transaccions per internet és una de les principals preocupacions dels usuaris i per això la necessitat dels certificats digitals.
el protocol SSL que fan servir els certificats de seguretat digitals, actualment anomenat TLS, permet establir connexions segures entre usuaris i llocs web.
El protocol SSL es va convertir en una eina indispensable a l'hora d'explosió del comerç electrònic, a mitjans de la segona dècada del 2000.
L'ús de protocol HTTPS és un dels criteris utilitzats per Google al posicionament natural
A l'agost de 2014, Google va publicar al seu bloc per als administradors web, una entrada titulada « HTTPS com a senyal de classificació«. A l'article, el gegant de Mountain View explicava que afavoria els llocs web que utilitzaven el protocol HTTPS per oferir connexions segures.
Els especialistes en posicionament es van prendre molt seriosament aquesta informació. De fet, Google no acostuma a publicar els factors que condicionen el seu algorisme per al posicionament dels llocs web, per això, aquest criteri pot i ha de ser vist no com una simple recomanació, sense o com una consigna de compliment obligat per optimitzar el posicionament natural al principal motor de cerca de la xarxa.
Si bé és cert que el protocol SSL/TLS ja està implementat en moltes botigues en línia, la seva presència encara és inexistent en altres tipus de webs. En demanar a la comunitat de administradors web que garanteixin la seguretat dels web que gestionen, el que Google intenta i millorar la seguretat general de la Xarxa.
Aquest objectiu ben intencionat, de vegades pot ser vist com a coerció. És cert que els certificats SSL són necessaris per a la seguretat, però també els és que aquests certificats s'han de pagar. Només el servei Anem a encriptar permet obtenir gratuïtament un certificat de qualitat. Per poder gaudir d'aquest servei, el webmaster ha de tenir el control del vostre hosting i ha de poder modificar la configuració d'accés al vostre lloc web. Hi ha paquets d'allotjament que permeten, sovint pagant una mica més, instal·lar un certificat SSL en un clic i activar la transmissió segura de les dades.
Com triar un certificat SSL?
Les garanties dels certificats SSL
SSL (Secure Sockets Layer) designa un protocol per proporcionar comunicacions segures a internet. Sovint es fa servir aquest acrònim per designar el seu successor, el protocol TLS (Transport Layer Security).
SSL va ser desenvolupat en el seu moment per Netscape. La IETFInternet Engineering Task Force, una organització internacional oberta que es dedica a l'estandardització d'Internet, ha continuat el desenvolupament de SSL i en un moment determinat va haver de canviar el nom de la seva versió de SSL a TLS. Habitualment, es tendeix a confondre un nom amb un altre.
Tots dos protocols garanteixen la autenticació del servidor, confidencialitat i la integritat de les dades intercanviades. Poden ser implementats fàcilment a HTTP (HyperText Transfer Protocol), el principal protocol de comunicació client/servidor de la Xarxa. Un cop instal·lat el TLS, l'intercanvi de dades passa a ser HTTPS.
La major part dels navegadors suporten, si més no, la versió 1.0 de TLS. Per a l'internauta és molt fàcil saber si la connexió a un lloc és segura o no, ja que els navegadors mostren una clau o un cadenat a l'esquerra de la barra de direcció oa la barra d'estat. Hi ha navegadors que mostren fins i tot la barra d'adreces en verd.
L'emissió de certificats i l'elecció de l'autoritat de certificació (AC)
Per garantir la seguretat dels intercanvis, TLS xifra les dades intercanviades entre el navegador de l'usuari i el servidor. Per fer aquesta encriptació el servidor ha de disposar d'un certificat digital emès per una Autoritat de Certificació (CA).
Per emetre un certificat digital, la CA realitza una sèrie de verificacions per garantir que el certificat es lliura a lusuari legítim.
Els certificats digitals vénen signats per la CA la qual cosa en garanteix la validesa.
Els editors de programari incorporen d'origen tots la majoria dels certificats arrel autoritzats. D'aquesta manera, certs programes, com ara els navegadors web, poden controlar fàcilment la validesa d'un certificat comprovant la signatura de la CA.
Els usuaris de Google Chrome , per exemple, podeu consultar la llista d'autoritats de certificació accedint a «Administrar certificats» al panell de «Configuració» de Chrome.
El certificat SSL que vulgueu instal·lar en un lloc web públic, obligatòriament, ha d'estar signat per una autoritat de certificació reconeguda pels principals navegadors d'internet. Una simple cerca abans de fer la compra, permet determinar si l'autoritat de certificació escollida gaudeix de bona reputació.
Les recomanacions de Google per a la instal·lació de SSL:
- Utilitzar certificats privats almenys 2048 bits de
- Determinar si el tipus de certificat haurà de ser Comodí (per protegir subdominis d'un mateix nom de domini), multi-domino (per protegir diferents noms de domini amb un únic certificat SSL anomenat certificat SAN o UCC) o Senzill (per a un únic nom de domini)
- Utilitzar URLs relatives als recursos ubicats sota el domini protegit
- No bloquejar la indexació del lloc HTTPS amb fitxers txt
- No bloquejar la indexació de les pàgines atribuint « noindex» a la metatag «robots».
Google recomana aquesta eina de ssllabs.com per comprovar si un lloc web utilitza el protocol SSL.
Les autoritats de certificació no sempre són irreprotxables
Google i en general els grans operadors de la Xarxa, com Microsoft, sovint es veuen obligats a assenyalar la manca de serietat o les deficiències de determinades autoritats de certificació.
A principis del 2016, Microsoft, per exemple, va decidir retirar de la seva llista de certificats segurs els certificats emesos per una vintena d'autoritats de certificació. I Google, per la seva banda, va amenaçar de retirar Symantec de la seva Llista Blanca, per una sèrie de males pràctiques. El motor de cerca va exigir a Symantec una actualització i adequació als estàndards de Certificat de transparència, del qual és promotor.
Per tot això, abans d'instal·lar un certificat és molt important, com hem comentat anteriorment, informar-vos sobre la reputació de l'autoritat de registre amb què volem treballar.
Si el certificat no és vàlid o no està instal·lat correctament, els navegadors avisaran del problema l'usuari. El navegador Google Chrome adverteix els usuaris amb el missatge «El certificat de seguretat del lloc no és de confiança» (en anglès The site's security certificate no és trusted).
Diferents tipus de certificats digitals
Al moment de comprar un certificat de seguretat, descobreix l'oferta de certificats SSL/TLS que Nominalia ha creat per adaptar-se a qualsevol necessitat.